Наткнулся на новую идею и решил запостить)

Сразу оговорюсь – авторство идеи принадлежит Azaraskin, я только довел реализацию до ума.

Классическая схема впаривания фейка.

Мы впариваем жертве урл, максимально похожий на адрес целевого сайта (например, какой-нибудь vk0ntckte.ru), и надеемся, что юзер по своей невнимательности перейдет туда и забьет свои данные.

Минусы такой схемы известны – все «годные» домены либо заняты, либо забанены, на это уже мало кто ведется, поисковые системы научились находить такие фейки.

А теперь - новая идея Azaraskin-а, которую он назвал Tabnabbing.

Мы даем жертве урл, который ведет на созданный нами (или временно принадлежащий нам, например взломанный) сайт, который вообще не имеет никакого отношения к целевому сайту. Основная задача – чтобы жертва открыла сайт на новой вкладке (большинство современных браузеров IE8, Firefox, Opera, Safari) работают исключительно в режиме вкладок), а потом не закрывая вкладку перешла на какую-либо другую, открытую ранее вкладку.
На нашем сайте работает специальный ява-скрипт, который замечает, что пользователь перешел на другую вкладку, и подгружает вместо своего предыдущего содержимого фейк нужного нам ресурса.

Пользователь, у которого открыто куча вкладок, забывает, что было на той вкладке, и когда случайно возвращается на нее – видит форму логина к целевому сайту. Profit.

Видео-туториал
Смотреть: [Ссылки доступны только зарегистрированным пользователям]
Скачать: [Ссылки доступны только зарегистрированным пользователям]

Сайт-пример: [Ссылки доступны только зарегистрированным пользователям]
Откройте пример в новой вкладке, вернитесь на любую другую вкладку, и через некоторое время зайдите на ту вкладку, где был открыт сайт-пример.

Плюсы идеи:

Скрипт можно внедрять как на свои "нейтральные" так и на взломанные, известные и популярные сайты (т.е. те, которым доверяет жертва).

Скрипт действует максимально незаметно.

Фейк не индексируется поисковиками и не попадает в бан.

Минусы:

Работает только при наличии хотя бы двух открытых вкладок.

Требует навыков соц.инженерии (впрочем, как и любой другой фейк). © zloy

:o:o:o

Фокусник однако :)

ссылки не работают =\

все работает!

Круто

pashet i na ie i na opere?

pashet i na ie i na opere?
работает Opera 10.53

would be possible the release of the source code and how q runs? :)

станет возможным выпуск исходный код и способ д выполняется, чтобы увидеть, если вы можете :)

А как такое реализовать можно? Как я понял это javascript? Обьясните плиз :)

Присоединяюсь к вопросу заграничного гостя, есть ли какие-либо подробности по вопросу практической реализации описанного действа?
На Opera 10.60 тоже работает

НА Google Chrome не работает=(

На опере протестил прикольно. Присаеденюсь к вопросу.. как это реализовать? или сорцы примера мот есть.... :)

Эхххх народ... Походу никто не ответит :( Давайте сами думать...:) Судя по исходному коду сайта [Ссылки доступны только зарегистрированным пользователям] всё дело в javascript-е... Наверное... И вообще в исходном коде ни одного намека про контакт... Как так - ХЗ... Сам запутался :mad: Есть кто разбирающийся в javascript и html на высоком уровне ?:)

.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

щас я вам рипну.:)



Добавлено через 1 час 44 минуты


Вот что у меня вышло [Ссылки доступны только зарегистрированным пользователям] :)


теперь можете меня рипать...) шутка.

в архиве все в том числе и сам фейк рабочий. [Ссылки доступны только зарегистрированным пользователям]

кстати если открыть новую вкладку пустую и свернуть браузер то тоже сработает.

travakur, спасибо огромное тебе :) Ну вот и всё вроде разобрались :)